IT und Recht, Cloud und mehr
Der Brexit ist in aller Munde und Unternehmen diskutieren seit Jahren, was zu tun ist. Die Stimmung schwankt zwischen Aktionismus und abwarten, die EU und UK werden sich schon einigen und die vielen hundert Unternehmen nicht im Stich lassen. Das sich die EU mit Großbritannien einigen wird, ist nicht mehr wahrscheinlich. Dies zeigt sich auch darin, dass Frau May eine Abstimmung nach der anderen für einen geordneten Brexit verliert. Nun stellt sich, schon fast zu spät, die Frage nach dem was tun?
Brad Smith Microsoft oberster Jurist ist viel unterwegs und hat die aktuellsten schwierigsten Themen im Bereich Cloud Computing zusammen mit seinen Kollegen von Google, Apple, Amazon und auch Alibaba auf dem Schreibtisch. Was für 2019 nun auf der Agenda steht berichtet Brad Smith in seinem Blogpost:
Seit 2015 besitzt Office 365 aus der globalen Cloud die Customer Lockbox, die ich in meinen Vorträgen und Gutachten sehr oft behandle. Diese war auch in einigen Verhandlungen mit dem Betriebsrat und dem Datenschutzbeauftragten sehr nützlich. Nun wird eine Customer Lockbox auch bei Azure eingeführt. Dies schauen wir uns nun genauer an:
Kaizala ist immer noch in aller Munde und viele internationale MVPs treiben das Produkt vor sich her und machen kräftig Werbung. Auch auf meine Blogbeiträge hier erreichten mich sehr viele Rückfragen, so dass ich um ein Update im Bereich Nutzung aus vertraglicher Sicht gebeten wurde.
Als ich heute das erste Mal den Blogpost auf der Microsoft Webseite für Großbritannien gesehen habe, musste ich zwei mal hinsehen. Nach vermehrten anderen Meldungen aus europäischen Mitgliedsstaaten am Ende des vergangenen Jahres, ist dies mal eine andere Wendung. Aber schauen wir es uns genauer an:
In Deutschland gibt es nun einen neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Es ist Ulrich Kelber ein ehemaliger Bundestagsabgeordneter der SPD aus Bonn, der nun in diesen Posten wechselte. Er machte in den letzten Tagen schon auf sich aufmerksam, da er sich zum Beispiel kritisch gegen WhatsApp äußerte.
Nach der Veröffentlichung von hunderten privaten Datensätzen von Politikern und Prominenten, folgt nun die Aufarbeitung mit vielen verschiedensten Forderungen. Diese Forderungen gehen von der Ausweitung des nationalen Cyberabwehrzentrums hin zu Proaktivität und Ausweiterung des BSI bis hin zu mehr Schulung.
Meine Antwort für mehr Datensicherheit und damit Datenschutz ist ein umfassendes Sicherheitskonzept mit drei Säulen:
Ein Schritt zur Schaffung von Datensicherheit muss das sensitive Labeling der Daten sein. Sensitive heißt in diesem Fall, dass die Eigenschaften am Dokument bleiben, egal wo es liegt und wer damit arbeitet.
Zunächst definiert man Labels und findet heraus wo, welche Daten im Unternehmen verarbeitet werden. Diese Daten werden zunächst Analysiert (Wo, Wie viele, Was, Inhalt) und dann einem vorher definiertem Label zugewiesen. Für das Zuweisen eines Labels für bereits bestehende Daten und neue Daten (eigene, fremde) gibt es verschiedene Mechanismen.
Beim Einsatz von sensitiven Labeling muss im Besonderen auf die MitarbeiterInnen eingegangen werden, denn ohne deren Mitarbeit wird ein Labelingsystem nicht umzusetzen sein.
Dazu kommt, dass Labeling eine technisch-organisatorische Maßnahme im Sinne des Datenschutzes ist, die zum Beispiel zur Absicherung der Verarbeitung von personenbezogenen Daten dienen kann. Ebenfalls dient Labeling als Maßnahme zur Durchsetzung von Datenschutz-Maßnahmen, die zum Beispiel bei der Verhinderung von Datenabfluss, Durchsetzung von Lösch- und Sperrfristen, sowie Durchsetzung von Compliance Richtlinien.
Welche Label jedes Unternehmen einführen und ausrollen will hängt von vielen Faktoren ab. Eine Diskussion kann dementsprechend schon mal 2-3 Monate dauern, um die richtigen Labels zu definieren und dann in einem Proof of Conzept nochmal 1-6 Monaten zur Anpassung dieser.
Die meisten Landesdatenschutzbeautragten empfehlen die Einführung von 4-5 Labeln an. Microsoft selber spricht von 5 Labeln und einige globale Unternehmen nutzen 3 Labels. Schauen wir uns dies doch mal genauer an:
| Klasse 1 | Public | frei zugängliche Daten | Telefonbücher, Adressbücher, Wahlvorschlagsverzeichnisse |
| Klasse 2 | Internal | Kenntnisnahme an ein berechtigtes Interesse der Einsichtnehmenden gekoppelt | beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen |
| Klasse 3 | Confidential | unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte | Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten |
| Klasse 4 | Secret | unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz”). | Anstaltsunterbringung, Straffälligkeit, dienstliche Beurteilungen, Gesundheitsdaten, Schulden, Pfändungen |
| Klasse 5 | High Confidential | deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen könnte | Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können |
Schutzstufenkonzept Niedersachsen [LINK]
Microsoft selber nutzt seit mehreren Jahren ein Klassifizierungssystem mit ihrem eigenen Produkt Azure Information Protection, welches auch ihr nutzen könnt.
Hier ein Beispiel aus Azure Information Protection
Die Standard Labels von AIP sind:
| Klasse 1 | Personal | nur für den Mitarbeiter selber |
| Klasse 2 | Public | öffentliche Daten |
| Klasse 3 | Internal | interne Daten |
| Klasse 4 | Confidential | sensible Daten |
| Klasse 5 | Secret | hochsensible Daten |
Azure Information Protection – Label Konfiguration [LINK]
Ein globales Unternehmen wollte im Sinne der Übersichtlichkeit und der Annahme des Systems durch die Mitarbeiterinnen auf wenige Labels setzen:
| Klasse 1 | Public | öffentliche Daten |
| Klasse 2 | Internal | interne Daten des Unternehmens |
| Klasse 3 | Secret | sensible Daten |
Ein Label kann mit verschiedenen Parametern verknüpft werden. Dies hat Einfluss auf die Art des Labels und die Anzahl. Folgende Liste gibt einen Eindruck am Beispiel der Klasse “Internal”:
Internal
Weiterhin muss geklärt werden, wie eine Zusammenarbeit mit Externen in einem Labelingsystem aussieht und wie MitarbeiterInnen mit Externen zusammenarbeiten. Ebenfalls gibt es die Möglichkeit Externe mit internen Accouns auszustatten oder über B2B eine Verbindung zuschaffen. Dies muss alles in Zusammenhang mit den geschlossenen Verträgen und den gegebenfalls neuen Verträgen einbezogen werden.
Ich werde mich zu diesem Thema in weiterhin widmen. Gerade die Zusammenarbeit mit Externen in einer sicheren Umgebung hat bestimmte Parameter und Voraussetzungen.
Wenn ihr nun eure Daten klassifiziert, verschlüsselt und diese auch noch überwacht, könnt ihr von einer sicheren Verarbeitung der Daten ausgehen. Auch wenn Datensätze abgefangen werden können diese nicht geöffnet oder sogar später noch gesperrt werden. Wenn ihr das Öffnen einer Datei noch an ein Gerät bindet, dann kann niemand Drittes mit den Dateien etwas anfangen.
Leider haben sehr viele Unternehmen heute noch kein Labeling-System für Ihre Daten und oder auch Datenspeicherorte. Eine Einführung ist mit Kosten und Aufwand verbunden, aber es führt kein Weg vorbei.
Mit der vorletzten Windows 10 Insider Build (18305) kam eine neue Funktion die Windows Sandbox in das Portfolio neben Hyper-V Manager in die Pro, Enterprise und EDU Varianten. Ich habe beide Funktionen einmal gegenüber gestellt, auch wenn die Sandbox noch nicht richtig funktioniert.
Emailverschlüsselung gehört leider immer noch nicht zum Standard, so dass verschiedene Unternehmen nun mit S/MINE oder auch PGP oder eben mit Office 365 Message Encryption. Letzeres wird nun im Standard aktiviert, so dass neue Office 365 Nutzer in den Enterprise Plänen nur noch verschlüsselte Emails versenden. Es ist dennoch ratsam dies zu konfigurieren.
An diesem Wochenende habe ich mich mehr mit Governance in Groups beschäftigt, da wir eine gute und schöne Diskussion auf dem SPS Lissabon zum Thema Groups, Teams und Yammer Governance, Labeling und Klassification hatten. Hier möchte ich einfach mal anschließen und in einem ersten Blogbeitrag nur einen Überblick bilden. In den nächsten Blogposts gehen wir die einzelnen Punkte einmal durch.